由Meta案看數位資料商業化面臨之跨國問題
於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。
針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。
2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。
目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。
本文同步刊登於TIPS網站(https://www.tips.org.tw/)
- Shiona McCallum, Meta: Facebook owner fined €1.2bn for mishandling data, BBC NEWS, May 28, 2023
- Ana Hadnes Bruder, Oliver Yaros, David A. Simon & Salome Peter, European Parliament Adopts Resolution About the Draft US Adequacy Decision , MAYER BROWN, Jun. 6, 2023
- Jan-Luca Jorzyk* & Amancaya Schmitt, The “Trans-Atlantic Data Privacy Framework” – Finally a Legally Secure Data Transfer to the United States? , Littler, May 17, 2023
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
莊越程
高級法律研究員 編譯整理
Shiona McCallum, Meta: Facebook owner fined €1.2bn for mishandling data, BBC NEWS, May 28, 2023, https://www.bbc.com/news/technology-65669839 (last visited Jun. 19, 2023).
Ana Hadnes Bruder, Oliver Yaros, David A. Simon & Salome Peter, European Parliament Adopts Resolution About the Draft US Adequacy Decision , MAYER BROWN, Jun. 6, 2023, https://www.mayerbrown.com/en/perspectives-events/publications/2023/06/european-parliament-adopts-resolution-about-the-draft-us-adequacy-decision (last visited Jun. 19, 2023).
Jan-Luca Jorzyk* & Amancaya Schmitt, The “Trans-Atlantic Data Privacy Framework” – Finally a Legally Secure Data Transfer to the United States? , Littler, May 17, 2023, https://www.littler.com/publication-press/publication/trans-atlantic-data-privacy-framework-finally-legally-secure-data (last visited Jun. 19, 2023).
科法觀點
歐盟執行委員會(European Commission,下稱執委會)於2024年7月11日宣布與蘋果公司和解並接受蘋果公司提出的承諾,未來十年在歐洲經濟區(European Economic Area, EEA)內允許第三方行動錢包提供者存取iOS裝置的NFC(Near-Field-Communication)功能,並設有監督受託人(monitoring trustee)進行監督。 自2020年6月執委會對蘋果公司啟動反壟斷調查,並於2022年5月執委會提出聲明認為蘋果公司在iOS裝置行動錢包市場具有主導地位,對競爭對手產生排他性影響,涉及違反《歐盟運作條約》(Treaty on the Functioning of the European Union, TFEU)第102條禁止濫用市場地位規定。蘋果公司為解決涉及違法問題,於2024年1月承諾提供第三方行動錢包提供者和支付服務提供者應用程式介面(Application Programming Interfaces, APIs)存取iOS裝置的NFC功能,並經由執委會1個月的第三方意見諮詢後,蘋果公司根據該意見修改部分內容,並提出以下承諾: ● 提供終端設備支付功能。 ● 取消存取NFC功能的資格條件。 ● 允許第三方行動錢包提供者為存取NFC功能預先設置支付應用程式。 ● 持續更新架構以符合行業標準。 ● 允許開發者提示使用者設定預設支付應用程式並導向設定頁面。 ● 縮短爭端解決期程。 ● 由監督受託人提供獨立性及程序保證。 執委會認為蘋果公司提出的承諾能有效解決蘋果公司限制第三方行動錢包提供者在iOS裝置提供NFC支付功能的競爭,執委會與蘋果公司和解並承認該承諾對蘋果公司產生法律約束力,監督受託人將定期向執委會報告,執委會與蘋果公司和解並結束為期4年的調查,但蘋果公司仍須承擔《數位市場法》(Digital Markets Act)等其他法規之義務。 相較於Android系統開放NFC功能提供行動錢包存取,iOS系統對行動錢包存取NFC功能有所限制,澳洲競爭與消費者委員會(Australian Competition and Consumer Commission)及美國司法部對於蘋果公司壟斷iOS裝置的行動錢包市場也展開調查或訴訟,蘋果公司面臨行動錢包市場競爭的挑戰,在歐洲經濟區內可能掀起行動錢包市場競爭的蓬勃發展,是否帶動在其他國家或地區的法制政策改變,可持續觀察各國行動錢包市場動態。
印度民航局發布無人機規則草案印度民航局(Directorate General of Civil Aviation,以下簡稱DGCA)在禁止公眾使用無人機多年後,終於在2017年11月1日發布無人機使用規則(草案),並於網站上公開徵求意見。民航局部長P Ashok Gajapathi Raju表示,草案將於接下來的30日內,與所有利益相關者進行交流,一旦協商完成,將會確定無人機監管框架。預計今年12月底前完成訂定無人機使用管理規範,包含商業用途無人機。 根據規則草案,無人機依照最大起飛重量將其分為五類,分別為: 奈米(nano)無人機:重量小於250克; 微型(micro)無人機:重量在250克和2公斤之間; 迷你無人機(mini):重量介於2公斤至25公斤; 小型無人機:重量25公斤至150公斤; 大型無人機:重量150公斤以上。 除了飛行能力不超過50英尺高度的奈米無人機,所有無人機必須依照DGCA規定取得識別碼(Unique Identification Number)。針對2公斤以上的無人機需有無人機操作員許可證(Unmanned Aircraft Operator Permit),任何無人機的遙控飛行員必須年滿18歲,且需受過規定的培訓。 另,基於安全考量,草案規定禁止飛行無人機之區域,例如:機場範圍半徑5公里內、國際邊界50公里範圍內、戰略區域500公尺以內的國家重地、人口稠密地區、影響公共安全或正在進行緊急行動的地區、移動式平台(如:汽車、飛機或輪船)、及國家公園和野生動物保護區等生態敏感區域(eco-sensitive areas)等,違規者將依印度刑法之規定起訴。
紐約市實施《生物辨識隱私法》強化生物特徵保護伴隨人工智慧、大數據及雲端運算浪潮,生物辨識技術逐漸成為日常生活的一部分。所謂生物辨識技術,是指利用個人獨特之生物特徵辨識個人的技術。生物特徵包含任何人類生理或行為特徵,只要能夠滿足普遍性、獨特性、不變性及可蒐集性 ,即可作為生物辨識之資訊。由於生物辨識技術能利用生物特徵達到識別與驗證個人身分,因而引發公眾對隱私、資安等議題的關注。 對此,紐約市於2021年7月21日也開始正式施行《生物辨識隱私法》(biometric privacy act) ,期能藉由限制業者利用生物辨識技術以及賦予消費者訴訟權利作法,促成隱私權的週全保障。 該法主要有三大部分: 一、規範生物辨識資訊範圍,包含但不限於(1)視網膜或虹膜掃描(2)指紋或聲紋(3)手或臉部立體掃描或是其他可用於識別之特徵。就前開生物特徵,要求業者應在所有消費者入口處放置清晰顯眼的標誌,搭配簡單易懂方式揭露其蒐集、保留、儲存消費者生物辨識資訊行為。同時,也明文禁止業者將消費者生物辨識資訊以販賣、租賃、交易或是分享方式交換任何相關價值或利益。 二、提供受侵害之消費者訴訟權與法定賠償請求權。但是,就單純未符合揭露要求之業者,該法給予30天的補救期間,要求消費者應於起訴前30天通知業者改善,一經改善即不得再起訴。 三、闡明政府相關部門不適用本法。金融機構、業者與執法部門共享生物辨識資訊,以及單純以影像、圖像蒐集而未分析識別情形則豁免揭露規範。 綜上,紐約市於該法創設訴訟權、法定賠償數額及豁免事由,預料將會是紐約市企業隱私保護政策重要指標,而值得我們繼續關注其發展與影響。
歐洲議會對開放900MHz達成初步共識歐洲議會於2009年4月27日一讀通過GSM指令修正案(Directive 87/372/EEC),對開放900MHz 頻段(880~915MHz、925~960MHz)供UMTS/HSPA技術使用達成共識。 全球行動供應商協會GSA (Global mobile Suppliers Association)協會歡迎這項進展,宣稱行動寬頻系統HSPA應用於900MHz段將可為網路營運商帶來實質的效益。因為相較於目前多數3G系統使用的較高頻率2100MHz,UMTS系統使用900MHz頻段能讓網路營運商以更低的成本、更好的電波穿透率進行網路布建。 根據UMTS論壇,雖然在歐洲900MHz係保留給GSM系統使用,但UMTS900-HSPA系統之商業布建與運轉已經在如澳洲、愛沙尼亞、芬蘭、冰島,甚至泰國等國家開始進行。 瑞典是最近一個宣布將開放900MHz頻段供3G使用之國家。其主管機關PTS於2009年3月19日宣稱將在執照更新時,允許仍以本頻段提供GSM服務的營運商以新的科技提供新的行動寬頻服務。 本案預計於2009年5月6日進行表決。